La direttiva europea 95/46/CE del 25 ottobre 1996, nel fissare il quadro normativo di riferimento, concede un'ampia autonomia, a ciascuno Stato membro della comunità, per regolamentare, attraverso la disciplina di settore, il trattamento dei dati personali. Uno degli aspetti in cui maggiormente si è manifestata questa autonomia si ravvisa nella differente disciplina delle misure di sicurezza. Alcuni Paesi comunitari si sono limitati a regolamentare per via legislativa i principi sanciti dalla direttiva, focalizzando i contenuti precettivi sui risultati. Ovvero indicando, ai soggetti responsabili del trattamento, gli obbiettivi di sicurezza minimi, lasciando pero al destinatario la scelta dei mezzi per garantire il raggiungimento di tali obbiettivi. È questo il caso, tra gli altri, della Grecia, del Portogallo e della Francia.

In altri paesi, però, l'entrata in vigore della legge sulla privacy è stata accompagnata dalla elaborazione di regolamenti di natura tecnica finalizzati a sancire, in maniera dettagliata, i requisiti minimi di sicurezza per il trattamento dei dati personali.
Paesi come Svezia e Olanda sono stati tra i primi a redigere tali normative. La prima con l'elaborazione dei Generals Recomendations on Data Security e la seconda con i Dutch Data Security Standards.
In Spagna, alcuni mesi prima dell'entrata in vigore della nuova legge organica n.15/1999 fu approvato il Regolamento sulle misure di sicurezza degli archivi automatizzati che contengano dati di carattere personale n.994/1999.

L'impostazione del regolamento si basa sulla definizione di quattro livelli di sicurezza: basico, medio attenuato, medio e alto.
I livelli di sicurezza vengono fatti dipendere dalla natura dei dati personali oggetto del trattamento. Cosí, le banche dati conteneti dati personali come le preferenze ideologiche, le professioni religiose, le origini raziali, il profilo sanitario o le tendenze sessuali, saranno classificate come di livello alto dovendo adottare le corrispondenti misure di sicurezza (art. 4, co. 3, Reg. 994/1999). Il legislatore spagnolo ha considerato la singola banca dati (in spagnolo: fichero) come un quid unitario, ovvero come un insieme di elementi da trattare in modo omogeneo. Ciò ha prodotto delle incongruenze nell'aspetto operativo.

Per chiarire meglio ciò di cui stiamo trattando ci limiteremo ad un esempio pratico. Supponiamo che una società gestisca con l'ausilio di un sistema d'informazione tutte le operazioni relative all'amministrazione del proprio personale. La natura dei dati contenuti nella banca dati "Personale", come l'affiliazione ad un sindacato o l'indicazione di una percentuale d'invalidità, fa sí che il livello di sicurezza corrispondente sia quello alto.
Ebbene, considerando la banca dati come un solo oggetto, il regolamento dispone determinate misure di sicurezza, da applicarsi alla banca dati nel suo insieme. Tornando all'esempio, ciò si tradurrebbe nell'obbligo per la società di cifrare le comunicazioni per via telematica qualora contengano dati estratti dalla suddetta banca dati (art. 26, Reg. 994/1999).

Altra misura di sicurezza prevista per i dati di livello alto è prevista per il caso in cui debbano essere trasportati. Il Regolamento dispone la loro cifratura prima della registrazione sull'apposito supporto rimovibile (art. 23, Reg. 994/1999). L'interpretazione letterale, adottata dalla Agenzia per la protezione dei dati personali spagnola, ascrive l'adozione delle misure di sicurezza alla classificazione della banca dati, effettuata secondo i criteri stabiliti dal regolamento. Seguendo quest'impostazione, la nostra società dovrà adottare comunicazioni cifrate anche qualora dovesse inviare, ad un istituto di credito, solo il nome e cognome con il corrispondente importo per il mandato di pagamento del salario ai propri dipendenti.

Il criterio discriminante per l'applicazione delle misure è l'appartenenza del "dato personale" alla banca dati, indipendentemente dal tipo di dato in questione. Di conseguenza, i dati identificativi, necessari per l'operazione bancaria, qualora vengano filtrati dalla base dati "personale" devono essere sottoposti ai processi di sicurezza stabiliti per il livello alto, pur trattantosi, come in questo caso, di nome e cognome e numero di conto.
L'incongruenza si presenta ancor più palese se facciamo riferimento all'art. 23 del regolamento. L'azienda esterna, incaricata della confezione ed invio della rivista aziendale, riceverà i dati dei lavoratori della società (nome, cognome ed indirizzo) registrati su supporti informatici, ma anche questi dati avranno dovuto subire un processo di cifratura previa.